Cyberbedrohungen: Welche Rolle spielt der Faktor Mensch?
Die Zunahme von Cyberangriffen auf Unternehmen stellt eine der größten Herausforderungen unserer Zeit dar. Diese Angriffe werden immer perfider und sind oft auf den ersten Blick kaum zu erkennen. Für diejenigen, die Opfer von Hacks werden, stehen nicht nur Lösegeldforderungen, sondern auch der Verlust hochsensibler Daten im Raum. Im schlimmsten Fall gerät sogar die Existenz des betroffenen Unternehmens in Gefahr. In dieser bedrohlichen Cyberlandschaft kommt dem Faktor Mensch eine entscheidende Bedeutung zu, da die meisten Cyberangriffe auf die Ausnutzung menschlicher Schwächen abzielen. Davon hängt es oft ab, ob ein Angriff erfolgreich ist oder nicht. Wir wollen uns deswegen in diesem Artikel Folgendes genauer ansehen:
Aktuelle Statistiken der Agentur der Europäischen Union für Cybersicherheit aus dem Zeitraum von Juli 2021 bis Juli 2022 verdeutlichen das Ausmaß der Bedrohung: Mit mehr als 10 Terabyte gestohlener Daten pro Monat sind Lösegeld-Trojaner (Ransomware) eine der größten Cybergefahren in der EU, wobei Phishing derzeit als der häufigste Initialisierungsvektor solcher Angriffe gilt. Darüber hinaus zählen DoS-Angriffe (Denial of Service) zu den gravierendsten Bedrohungen.
Diese Zahlen verdeutlichen die Dringlichkeit für Unternehmen, ihre Cyberabwehrmaßnahmen zu verstärken. Laut einer Studie im Auftrag des Digitalverbands Bitkom entstand der deutschen Wirtschaft 2023 ein Schaden von 206 Milliarden Euro durch Datendiebstahl, Spionage und Sabotage. Damit liegt der Schaden zum dritten Mal in Folge über der 200-Milliarden-Euro-Marke (2022: 203 Milliarden Euro, 2021: 223 Milliarden Euro).
Social Engineering - der Mensch als Schwachstelle?
Beim Thema Cybersicherheit spielen nicht nur Computersysteme und Netzwerke eine Rolle. Mindestens ebenso wichtig sind die Nutzenden dieser Technologien – mit all ihren Stärken und Schwächen. Beim Social Engineering setzen die Täter:innen gezielt auf den „Faktor Mensch“ als vermeintlich schwächstes Glied in der Sicherheitskette, um ihre kriminellen Absichten umzusetzen. Laut der Agentur der Europäischen Union für Cybersicherheit waren im Jahr 2022 satte 82 % aller Datenschutzverletzungen auf Social Engineering zurückzuführen.
Wo Cyberkriminelle dank fortschrittlicher Software, Firewalls und Virenscanner nicht weiterkommen, versuchen sie auf alternativen Wegen, Nutzende zur Installation von Schadsoftware oder zur Preisgabe sensibler Daten wie Passwörtern zu bewegen.
Vergleichbar mit dem Trickbetrug an der Haustür setzen Cyberkriminelle auch im digitalen Raum auf die Vortäuschung einer persönlichen Beziehung zum Opfer oder locken mit vermeintlichen Gewinnversprechen. Zahlreiche weitere Varianten dieser als Social Engineering bekannten Vorgehensweise sind denkbar und werden genutzt. Teilweise wird sogar ein indirekter Kontakt über Freund:innen des eigentlichen Opfers hergestellt.
Beim Social Engineering werden menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst oder Autoritätshörigkeit geschickt ausgenutzt, um Menschen zu manipulieren. Auf diese Weise bringen Cyberkriminelle ihre Opfer dazu, vertrauliche Informationen preiszugeben, Sicherheitsvorkehrungen zu umgehen, Geldtransfers zu tätigen oder Schadsoftware auf privaten Geräten oder Computern im Firmennetzwerk zu installieren.
Social Engineering ist an sich nichts Neues und dient seit Menschengedenken als Grundlage für verschiedenste Betrugsmaschen. Im Zeitalter der digitalen Kommunikation eröffnen sich den Kriminellen jedoch neue, äußerst effektive Möglichkeiten, um Millionen potenzieller Opfer zu erreichen.
Phishing-Mails erkennen
Die wohl bekannteste Ausprägung des Social Engineering ist das Phishing (wörtlich übersetzt: das Fischen nach Informationen). Durch geschickt gestaltete E-Mails, die oft täuschend echt wirken, sollen Personen dazu verleitet werden, auf einen enthaltenen Link zu klicken. Auf der ebenfalls gefälschten Webseite, die sich daraufhin öffnet, sollen dann Zugangsdaten eingegeben werden, die die Angreifenden abfangen.
Neben dem massenhaften Versand von Phishing-Mails ist zunehmend eine präzisere Variante dieser Methode zu beobachten, das sogenannte Spear Phishing. Hierbei werden E-Mails nach vorheriger Recherche gezielt auf kleine Gruppen oder Einzelpersonen zugeschnitten, was die „Trefferquote“ deutlich erhöht.
Eine weitere ausgeklügelte Variante ist der CEO Fraud, bei dem Kriminelle versuchen, Entscheidungsträger:innen oder für den Zahlungsverkehr autorisierte Mitarbeitende in Unternehmen zu manipulieren. Dabei geben sie vor, im Auftrag des Top-Managements zu handeln, und versuchen, angeblich dringende Überweisungen hoher Geldbeträge zu veranlassen.
Die Erkennung von Phishing-Mails erfordert daher erhöhte Wachsamkeit. Schulungen zur Sensibilisierung der Mitarbeitenden sind essenziell, um den sich ständig weiterentwickelnden Täuschungsversuchen einen Schritt voraus zu sein und die Sicherheit der Daten zu gewährleisten.
Es gibt Indizien, die auf das Vorliegen einer betrügerischen E-Mail schließen lassen. Diese sind im privaten und geschäftlichen Umfeld nahezu identisch. Auch für die Sicherheit im Homeoffice gibt es spezielle Maßnahmen, die Sie ergreifen können.
1. Grammatik- und Rechtschreibfehler
Am einfachsten zu erkennen sind E-Mails, die fehlerhaftes Deutsch enthalten. Oftmals wurden sie nicht auf Deutsch verfasst, sondern sind das Ergebnis einer Übersetzung aus einer anderen Sprache durch einen automatischen Übersetzungsdienst. Weitere Anzeichen für derartige E-Mails können Zeichensatzfehler oder das Fehlen von Umlauten sein. Doch Achtung: Mit der zunehmenden Verbreitung von künstlicher Intelligenz werden solche Fehler künftig entweder gar nicht mehr oder nur noch äußerst selten auftreten.
2. Fremdsprachige E-Mails
Ebenfalls verdächtig sind E-Mails, die auf Englisch oder Französisch verfasst sind. Deutsche Banken oder Organisationen kommunizieren üblicherweise auf Deutsch.
3. Fehlende persönliche Anrede
Seriöse Absender wie Ihre Bank oder Online-Zahlungsdienste sprechen Sie in E-Mails grundsätzlich mit Ihrem Namen an und keinesfalls mit generischen Anreden wie „Sehr geehrter Kunde“ oder „Sehr geehrter Nutzer“. Jedoch ist Vorsicht geboten: Phishing-Täter:innen haben häufig Zugriff auf Ihren Namen und nutzen diesen zur persönlichen Anrede.
4. Angeblich dringender Handlungsbedarf
Sollten Sie per E-Mail aufgefordert werden, schnell und innerhalb einer bestimmten (kurzen) Frist zu handeln, sollten Sie ebenfalls stutzig werden – insbesondere wenn diese Aufforderung mit einer Drohung einhergeht, beispielsweise mit der Ankündigung, dass andernfalls Ihre Kreditkarte oder Ihr Online-Zugang gesperrt wird.
5. Aufforderung zur Dateneingabe
Sie werden aufgefordert, persönliche Daten wie PIN, TAN oder Passwörter einzugeben. Geldinstitute fordern niemals persönliche Daten per Telefon oder E-Mail an. Das ist eine der wesentlichen Sicherheitsregeln.
6. Aufforderung zum Öffnen von Dateien
In immer mehr Phishing-E-Mails wird dazu aufgefordert, eine Datei zu öffnen, die entweder als Anhang der E-Mail direkt beigefügt ist oder über einen Link zum Download bereitsteht. Erhalten Sie eine unerwartete E-Mail, ist es dringend geboten, eine solche Datei keinesfalls herunterzuladen oder zu öffnen. In der Regel verbirgt sich hinter solchen Dateien ein schädliches Programm wie ein Virus oder ein Trojaner. Bei E-Mails, die einen Dateianhang enthalten, sollten Sie grundsätzlich ein gesundes Misstrauen walten lassen.
7. Aufforderung zum Anklicken von Links oder Ausfüllen von Formularen
Nur in Ausnahmefällen versenden Banken und andere Dienstleister E-Mails mit Links, auf die Sie klicken sollen. Dies geschieht beispielsweise bei Mitteilungen zu neuen AGB, jedoch niemals, um Sie zum Einloggen in Ihr Konto zu bewegen. Es ist grundsätzlich ratsamer, die Internetseite eigenständig aufzurufen, indem Sie die Adresse direkt in das Adressfeld Ihres Browsers eingeben.
8. E-Mails von unbekannten Absendern
Erhalten Sie E-Mails von einer Bank, die Ihnen üblicherweise keine E-Mails schickt oder der Ihre E-Mail-Adresse nicht bekannt sein kann? Oder werden Sie von anderen Dienstleistern, Online-Shops oder Unternehmen kontaktiert, mit denen Sie keine bestehende Geschäftsbeziehung haben?
In solchen Fällen empfiehlt es sich, sämtliche dieser E-Mails zu löschen – jedoch nur dann, wenn der Betrugsversuch eindeutig erkennbar ist. Wenn Sie jedoch bereits auf einen Link geklickt oder einen Dateianhang geöffnet haben, wodurch Sie sich möglicherweise einen Trojaner eingefangen haben, sollten Sie die E-Mail nicht löschen, da sie ein wichtiges Beweismittel darstellt.
9. Prüfung der Vertrauenswürdigkeit des Absenders
Manche Phishing-Mails sind äußerst geschickt gemacht. Die E-Mail-Adresse des Absenders wirkt vertrauenswürdig, der Link im Text ebenfalls, und die Sprache ist fehlerfrei. Trotzdem darf man nicht automatisch davon ausgehen, dass die E-Mail authentisch ist. Absenderinformationen und Links in E-Mails lassen sich leicht fälschen, weshalb eine sorgfältige Überprüfung unerlässlich ist.
Tipp für interne Unternehmens-E-Mails: Nutzen Sie die Absenderprüfung mit dem Teams-Status, wenn Sie Microsoft Teams verwenden. Fehlt bei einer vermeintlich internen E-Mail der Status, können Sie davon ausgehen, dass es sich um eine Spam-Mail handelt. Dennoch ist Vorsicht geboten: Selbst wenn die E-Mail diese Information erhält, bedeutet das nicht zwangsläufig, dass sie zu 100 % sicher ist.
10. Link-Überprüfung
Besondere Aufmerksamkeit ist geboten, wenn das Ziel eines Links in der E-Mail nicht mit dem angezeigten Text übereinstimmt. Das Linkziel wird angezeigt, indem Sie mit der Maus über den Link fahren. In einem Pop-up erscheint dann das tatsächliche Ziel.
Für eine erste Überprüfung ist die Identifizierung der Ziel-Domain entscheidend. Dazu werden die einzelnen Bestandteile der Domain analysiert, also alles, was sich zwischen dem Protokollhandler (https) und dem ersten Schrägstrich befindet. Besonders relevant ist, was vor und nach dem letzten Punkt steht: der Domain-Name und die Top-Level-Domain.
Wenn der Link eindeutig dem Unternehmen zugeordnet werden kann, von dem die E-Mail stammt, ist der Link wahrscheinlich sicher.
Ermittlung des Domain-Inhabers
Wenn die Link-Domain nicht eindeutig mit der Absender-Domain übereinstimmt, lässt sich der tatsächliche Inhaber der Domain mithilfe von Tools wie beispielsweise who.is feststellen. Leider ist diese Abfrage nicht bei allen Top-Level-Domains möglich. So können beispielsweise .eu-Domains ausschließlich über ihre zentrale Registrierungsstelle abgefragt werden. In der Regel liefert who.is jedoch Informationen darüber, wo man den Inhaber sonst abfragen kann.
Stimmen der Inhaber und die Absender-Domain überein, ist das Öffnen des Links unbedenklich. Wenn dies nicht der Fall ist, ist Vorsicht geboten. Eine Plausibilitätsprüfung kann in solchen Fällen weiterhelfen. Im Zweifelsfall empfiehlt es sich, den Absender telefonisch zu kontaktieren, die interne Ansprechperson in Ihrem Unternehmen zu konsultieren oder gemäß ISO-Richtlinien zu verfahren.
Externe Link-Prüfung
Sollte nach allen vorangegangenen Überprüfungen weiterhin Unsicherheit bestehen, kann eine externe Prüfung auf Malware und Reputation mithilfe von Tools wie dem VirusTotal URL Checker durchgeführt werden. Hierbei ist wichtig, die komplette URL und nicht nur die Domain zu verwenden. Allerdings sollte das Tool mit Bedacht genutzt werden, da Links vertrauliche Informationen enthalten können.
Grundsätzlich gilt: Keine technische Schutzmaßnahme bietet eine 100%ige Sicherheit.
Sicherheitsfaktor Mensch
Die Effektivität der IT-Sicherheit ist nur so gut wie die Menschen, die die Systeme bedienen. Deshalb sollte der Mensch nicht als potenzielle Sicherheitslücke betrachtet werden, sondern als Schutzschild gegen Cyberangriffe. Immer mehr Unternehmen haben bereits erkannt, dass IT-Sicherheit nicht allein durch technische Maßnahmen erreicht werden kann – auch geschultes Personal leistet einen wichtigen Beitrag zum Schutz vor Cyberangriffen. Der Mensch ist nicht Teil des Problems, sondern als Sicherheitsfaktor Teil der Lösung. IT-Sicherheit betrifft alle Mitarbeitenden und jede Abteilung im Unternehmen.
Das rasche Erkennen von Cyberangriffen oder Social-Engineering-Versuchen kann erhebliche wirtschaftliche und immaterielle Schäden verhindern. Die Förderung eines entsprechenden Problem- und Sicherheitsbewusstseins sowie regelmäßige Schulungen sind daher entscheidende präventive Maßnahmen zur Stärkung des „Sicherheitsfaktors Mensch“.
Haben Sie noch weitere Fragen oder Anmerkungen? Schreiben Sie uns - wir freuen uns auf Ihre Kontaktaufnahme!
Diese Artikel könnten Ihnen gefallen
Ähnliche Artikel